【风险通告】2022年4月重点关注的漏洞

admin 2022年4月29日18:58:51评论126 views字数 10314阅读34分22秒阅读模式

0x00 风险概述

2022年4月,启明星辰安全应急响应中心监控到重点关注漏洞共计40+,漏洞来源包括CNVD、CNNVD、CVE、NVD、CISA、Internet等,这些漏洞涉及GitLab、Apache、Microsoft、VMware、Cisco、Google、Atlassian、Oracle、Lenovo、WSO2和Kubernetes等厂商和开源项目。

 

0x01 风险详情

ID

漏洞ID

供应商/项目

漏洞名称

说明

记录日期

参考链接/来源

 

1       

CVE-2022-1162

GitLab

GitLab  硬编码漏洞

GitLab  CE/EE 14.7(14.7.7之前)、14.8(14.8.5之前)和14.9(14.9.2之前)版本中存在硬编码漏洞,可能导致账户接管。

4月1日

Gitlab官方

 

2       

CVE-2022-0342

Zyxel

Zyxel  防火墙身份验证绕过漏洞

某些防火墙版本的CGI程序中存在因缺乏适当的访问控制机制而导致的身份验证绕过漏洞,可以在未经身份验证的情况下获得对设备的管理访问权限。

4月1日

Zyxel官方

 

3       

CVE-2022-22965

VMware

Spring  Framework远程代码执行漏洞

在 JDK 9 及以上版本环境下,可以利用此漏洞在未授权的情况下在目标系统上写入恶意程序从而远程执行任意代码。官方已在Spring Framework5.3.18+和5.2.20+中修复了此漏洞。此漏洞的PoC/EXP已公开。

4月1日

VMware官方

 

4       

暂无

NGINX

NGINX  LDAP Reference Implementation 代码执行0 day漏洞

满足以下任何条件之一的LDAP 参考实现的部署会受此漏洞影响:命令行参数用于配置 Python 守护进程;有未使用的可选配置参数;LDAP 身份验证取决于特定的组成员身份。注:NGINX Open Source 和 NGINX Plus不受影响。

4月11日

Nginx官方

 

5       

CVE-2022-24803

开源项目

Asciidoctor-include-ext命令注入漏洞

使用Asciidoctor (Ruby)和0.4.0版本之前的asciidoctor-include-ext的应用程序,在AsciiDoc标记中渲染用户提供的输入时,可能导致在主机上执行任意系统命令。

4月11日

Github

 

6       

CVE-2022-0482

开源项目

Easy  Appointments信息泄露漏洞

由于 API 权限检查存在缺陷,可以利用此漏洞在未经身份验证的情况下查询后端 API 并以 JSON 格式获取存储在目标系统中的私人用户数据。

4月12日

互联网

 

7       

CVE-2021-31805

Apache

Apache  Struts远程代码执行漏洞

由于对CVE-2020-17530的修复不完整,在Apache Struts  2.0.0-2.5.29中,如果开发人员使用 %{...} 语法应用强制 OGNL 解析,标签的某些属性仍然可被二次解析。当对标签属性中未经验证的原始用户输入进行解析时可能会导致远程代码执行。

4  月 12 日

Apache官方

 

8       

CVE-2022-23176

WatchGuard

WatchGuard  Firebox 和 XTM 权限提升漏洞

WatchGuard  Firebox 和 XTM 设备允许在具有非特权凭据的情况下通过公开的管理访问权限远程访问具有特权管理会话的系统。该漏洞影响了12.7.2_U1之前的Fireware OS,12.1.3_U3之前的12.x,以及12.2.x到12.5.7_U3之前的12.5.x。

4  月 13 日

NVD

 

9       

CVE-2022-22822

开源项目

Expat整数溢出漏洞

2.4.3  之前的 Expat(又名 libexpat)中的 xmlparse.c 中的 addBinding 存在整数溢出。

4  月 13 日

NVD

 

10     

CVE-2022-22823

开源项目

Expat整数溢出漏洞

2.4.3  之前的 Expat(又名 libexpat)中的 xmlparse.c 中的 build_model 存在整数溢出。

4  月 13 日

NVD

 

11     

CVE-2022-22824

开源项目

Expat整数溢出漏洞

2.4.3  之前的 Expat(又名 libexpat)中的 xmlparse.c 中的 defineAttribute 存在整数溢出。

4  月 13日

NVD

 

12     

暂无

WordPress

WordPress  Elementor Website Builder 插件远程代码执行漏洞

WordPress  Elementor Website Builder 插件3.6.3 之前的3.6.x中存在经过身份验证的远程代码执行漏洞。

4月13日

互联网

 

13     

CVE-2022-24521

Microsoft

Microsoft  Windows CLFS 驱动程序权限提升漏洞

Microsoft  Windows 通用日志文件系统  (CLFS) 驱动程序存在允许权限提升的未明漏洞。

4月13日

微软官方

 

14     

CVE-2022-26904

Microsoft

Windows  用户配置文件服务权限提升漏洞

Windows  User Profile Service中存在本地权限提升漏洞,其CVSS评分为7.0,目前此漏洞已经公开披露,且已检测到被利用。

4月13日

微软官方

 

15     

CVE-2022-26809

Microsoft

Remote  Procedure Call Runtime远程代码执行漏洞

此漏洞的CVSSv3评分为9.8。可以通过向RPC主机发送一个特制的RPC调用,这可能导致在服务器端以与RPC服务相同的权限远程执行代码。可以通过在企业外围防火墙中阻止TCP端口445和遵循Microsoft  指南以保护SMB 流量来缓解此漏洞。

4月13日

微软官方

 

16     

CVE-2022-26815

Microsoft

Windows  DNS Server远程代码执行漏洞

Windows  Server 2008,2012,2016,2019和2022的Windows DNS Server组件存在远程代码执行漏洞。

4月13日

微软官方

 

17     

CVE-2022-22954

VMware

VMware  Workspace ONE Access and Identity Manager远程代码执行漏洞

VMware  Workspace ONE Access 和Identity Manager 存在一个由于服务器端模板注入而导致的远程代码执行漏洞。此漏洞的CVSS评分为9.8,目前PoC已经公开,且已检测到在野利用。

4月14日

VMware官方

 

18     

CVE-2022-20695

Cisco

Cisco无线 LAN 控制器(WLC)身份验证绕过漏洞

由于密码验证算法实施不当,Cisco WLC存在身份验证绕过漏洞,成功利用此漏洞可绕过身份验证并以管理员身份登录设备。该漏洞的CVSS评分为10.0。

4月14日

Cisco官方

 

19     

CVE-2022-27479

Apache

Apache  Superset SQL注入漏洞

1.4.2版本之前的Apache Superset在图表数据请求中容易受到SQL注入攻击。

4月14日

Apache官方

 

20     

CVE-2022-22966

VMware

VMware  Cloud Director远程代码执行漏洞

在10.1.4.1、10.2.2.3 和 10.3.3 版本之前的VMware Cloud Director中,通过网络访问VMware Cloud Director租户或提供商的经过身份验证的高权限攻击者能够利用此漏洞获得对服务器的访问权。

4月15日

VMware官方

 

21     

CVE-2022-1364

Google

Google  Chrome V8类型混淆漏洞(CVE-2022-1364)

Google  Chrome V8 JavaScript 引擎中存在类型混淆漏洞,可导致浏览器崩溃或执行任意代码。

4月15日

Google官方

 

22     

CVE-2022-22960

VMware

VMware  多个产品权限提升漏洞

由于支持脚本中的权限不正确,VMware Workspace ONE Access、Identity  Manager和vRealize Automation存在一个权限提升漏洞,可以实现本地权限提升为 root。此漏洞已检测到被利用。

4月18日

VMware官方

 

23     

CVE-2022-29072

7-Zip

7-Zip权限提升漏洞

在Windows上的7-Zip到21.07版本,将带有.7z扩展名的文件被拖到Help>Contents区域时可以实现权限提升和命令执行。

4月18日

Github

 

24     

CVE-2022-24070

Apache

Apache  Subversion Use-After-Free漏洞

Subversion  的 mod_dav_svn  在查找基于路径的授权规则时容易出现Use-After-Free问题,可能导致处理请求的 HTTPD 工作进程崩溃,从而导致拒绝服务。

4月19日

Apache  Subversion官方

 

25     

CVE-2022-26133

Atlassian

Atlassian  Bitbucket Data Center 远程代码执行漏洞

由于 Atlassian Bitbucket Data Center 中的 Hazelcast  接口功能未对用户数据进行有效过滤导致存在反序列化漏洞,可以构造恶意数据远程执行任意代码。只有当  Atlassian Bitbucket Data Center 以 Cluster 模式安装时,才可能受该漏洞影响。

4月20日

Atlassian官方

 

26     

CVE-2022-22718

Microsoft

Microsoft  Windows Print Spooler 权限提升漏洞

Microsoft  Windows Print Spooler 存在允许权限提升的未明漏洞。微软已于2022年2月修复了此漏洞,目前已检测到被利用。

4月20日

微软官方

 

27     

CVE-2022-23305

Oracle

Oracle  WebLogic Server远程代码执行漏洞

Oracle  WebLogic Server 中引用了存在漏洞的第三方JARs(Apache Log4j)。成功利用此漏洞可以在未经身份验证的情况下通过 HTTP 访问服务器,最终导致Oracle WebLogic Server 被接管。

4月20日

Oracle官方

 

28     

CVE-2022-21441

Oracle

Oracle  WebLogic Server拒绝服务漏洞

Oracle  WebLogic Server Core存在安全漏洞,允许在未经身份验证的情况下通过T3/IIOP 进行网络访问,从而攻击Oracle WebLogic Server,成功利用此漏洞可能会导致 Oracle WebLogic Server挂起或频繁重复崩溃(完全DOS)。

4月20日

Oracle官方

 

29     

CVE-2022-21449

Oracle

JavaJDK  ECDSA签名密钥缺陷漏洞

Oracle  Java SE 17.0.2和18、

GraalVM企业版21.3.1和22.0.0.2以及其它不受支持的版本中,存在签名密钥缺陷漏洞,Java未检查ECDSA签名算法r和s为0的情况,当使用JDK自带的ECDSA算法进行签名校验时,存在被绕过的可能。

4月20日

Oracle官方

 

30     

CVE-2021-3970

Lenovo

Lenovo  SMM 任意读/写漏洞

在某些联想笔记本型号中,由于验证不足,LenovoVariable SMI处理程序存在安全问题,可在具有本地访问权限(和提升到更高权限)的情况下执行任意代码。

4月20日

联想官方

 

31     

CVE-2021-3971

Lenovo

Lenovo  UEFI 固件漏洞

在某些联想笔记本设备上,存在安全问题的旧的UEFI 固件驱动程序被错误地包含在生产 BIOS 映像中而没有被正确停用。这些受影响的固件驱动程序可以被激活,以在系统运行时从特权用户模式进程直接禁用 SPI 闪存保护。

4月20日

联想官方

 

32     

CVE-2021-3972

Lenovo

Lenovo  UEFI 固件漏洞

在某些联想笔记本设备上,存在安全问题的旧的UEFI 固件驱动程序被错误地包含在生产 BIOS 映像中而没有被正确停用。这些受影响的固件驱动程序可以被激活,以在系统运行时从特权用户模式进程直接禁用UEFI 安全引导功能。

4月20日

联想官方

 

33     

CVE-2022-29266

Apache

Apache  APISIX信息泄露漏洞

在2.13.1版本之前的APache APISIX中,攻击者可以通过向受jwt-auth插件保护的路由发送错误的JSON Web Token,通过错误信息响应获得插件配置的敏感信息。

4月21日

Apache官方

 

34     

CVE-2022-22969

Vmware

Spring  Security OAuth2拒绝服务漏洞

Spring  Security OAuth 在2.5.2之前的2.5.x和不受支持的旧版本中,容易受到通过OAuth 2.0客户端应用程序中的授权请求发起的拒绝服务(DoS)攻击。

4月21日

VMware官方

 

35     

CVE-2022-0540

Atlassian

Atlassian  Jira身份验证绕过漏洞

Jira  Seraph中存在安全漏洞,允许在未经身份验证的情况下通过发送特制的 HTTP 请求来绕过身份验证。受影响的Jira用户可更新到8.13.18/8.20.6/8.22.0版本,jira Service  Management可更新到版本4.13.18/4.20.6/ 4.22.0。

4月21日

Atlassian官方

 

36     

CVE-2022-20773

Cisco

Cisco  Umbrella Virtual Appliance(VA)静态 SSH 主机密钥漏洞

由于存在静态 SSH 主机密钥,Cisco Umbrella 虚拟设备 (VA) 的基于密钥的 SSH 身份验证机制中存在漏洞,可能允许未经身份验证的远程攻击者冒充 VA。注意:默认情况下,Umbrella VA 上未启用 SSH。

4月21日

Cisco官方

 

37     

CVE-2022-29464

WSO2

WSO2  多个产品文件上传和远程代码执行漏洞

WSO2  多个产品存在未经身份验证的任意文件上传漏洞,可以通过上传恶意文件在 WSO2 服务器上远程执行任意代码。此漏洞的PoC/EXP已公开,且已检测到被利用。

4月24日

WSO2官方

CNNVD

 

38     

CVE-2021-25746

Kubernetes

Kubernetes  Ingress-nginx Secret 泄露漏洞

在Ingress-nginx中存在信息泄露漏洞,可以创建或更新 Ingress 对象的用户可以利用该漏洞访问集群中的信息。

4月25日

Github

 

39     

CVE-2022-21919

Microsoft

Microsoft  Windows 用户配置文件服务权限提升漏洞

Microsoft  Windows 用户配置文件服务存在允许权限提升的未明漏洞。此漏洞已于2022 年 1 月修复,且已检测到被利用。

4月26日

微软官方

 

40     

CVE-2022-24706

Apache

Apache  CouchDB远程代码执行/权限提升漏洞

在3.2.2 版本之前的 Apache CouchDB 中,可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限。

4月27日

Apache官方

 

41     

CVE-2022-23121

Netatalk

Netatalk  parse_entries 异常情况处理不当远程代码执行漏洞

该漏洞存在于parse_entries函数中,由于在解析 AppleDouble 条目时缺乏正确的错误处理,可以在未经身份验证的情况下利用此漏洞在 root 上下文中执行代码。此漏洞已在Netatalk 3.1.13中修复。

4月

28

Netatalk官方

 

42     

CVE-2022-29799

Linux

Linux  networkd-dispatch 目录遍历漏洞(统称为Nimbuspwn)

Linux  networkd-dispatcher组件存在目录遍历漏洞,可结合CVE-2022-29800等漏洞实现权限提升为root。

4月28日

微软官方

 

43     

CVE-2022-29800

Linux

Linux  networkd-dispatch TOCTOU竞争条件漏洞(统称为Nimbuspwn)

Linux  networkd-dispatcher组件存在TOCTOU竞争条件漏洞,可结合CVE-2022-29799等漏洞实现权限提升为root。

4月28日

微软官方

 

44     

暂无

Microsoft

Microsoft  Azure Database for PostgreSQL - Flexible Server权限提升漏洞

Azure  Database for PostgreSQL 灵活服务器中存在多个安全漏洞(统称为ExtraReplica),能够导致在绕过身份验证后提升权限并获得对其他客户数据库的访问权限。

4月29日

互联网

 

45     

暂无

Microsoft

Microsoft  Azure Database for PostgreSQL - Flexible  Server身份验证绕过漏洞

Azure  Database for PostgreSQL 灵活服务器中存在多个安全漏洞(统称为ExtraReplica),能够导致在绕过身份验证后(使用伪造证书)提升权限并获得对其他客户数据库的访问权限。

4月29日

互联网

 

46     

CVE-2022-29081

ZOHO

ZOHO  ManageEngine Access Manager Plus 身份验证绕过漏洞

可以在未经身份验证的情况下通过使用类似'/x/.../RestAPI/'的URL绕过对REST API URL的检查,获得对程序的访问权限。

4月29日

ZOHO官方

 

其中,部分漏洞已发布相关安全公告,可在公众号【启明星辰安全应急响应中心】或【维他命安全】查看详情。

【风险通告】2022年4月重点关注的漏洞


 

0x02 附件

附件1-2021年最常被利用的漏洞Top15

CVE

漏洞名称

供应商及产品

漏洞类型

CVE-2021-44228

Log4Shell

Apache  Log4j

RCE

CVE-2021-40539

Null

Zoho  ManageEngine AD SelfService Plus

RCE

CVE-2021-34523

ProxyShell

Microsoft  Exchange Server

权限提升

CVE-2021-34473

ProxyShell

Microsoft  Exchange Server

RCE

CVE-2021-31207

ProxyShell

Microsoft  Exchange Server

安全功能绕过

CVE-2021-27065

ProxyLogon

Microsoft  Exchange Server

RCE

CVE-2021-26858

ProxyLogon

Microsoft  Exchange Server

RCE

CVE-2021-26857

ProxyLogon

Microsoft  Exchange Server

RCE

CVE-2021-26855

ProxyLogon

Microsoft  Exchange Server

RCE

CVE-2021-26084

Null

Atlassian  Confluence Server 和 Data Center

任意代码执行

CVE-2021-21972

Null

VMware  vSphere Client

RCE

CVE-2020-1472

ZeroLogon

Microsoft  Netlogon Remote Protocol (MS-NRPC)

权限提升

CVE-2020-0688

Null

Microsoft  Exchange Server

RCE

CVE-2019-11510

Null

Pulse  Secure Pulse Connect Secure

任意文件读取

CVE-2018-13379

Null

Fortinet  FortiOS 和FortiProxy

目录遍历

 

附件2-2021年最常被利用的其它漏洞

CVE

供应商及产品

类型

CVE-2021-42237

Sitecore  XP

RCE

CVE-2021-35464

ForgeRock  OpenAM server

RCE

CVE-2021-27104

Accellion  FTA

OS命令执行

CVE-2021-27103

Accellion  FTA

SSRF

CVE-2021-27102

Accellion  FTA

OS命令执行

CVE-2021-27101

Accellion  FTA

SQL注入

CVE-2021-21985

VMware  vCenter Server

RCE

CVE-2021-20038

SonicWall  Secure Mobile Access (SMA)

RCE

CVE-2021-40444

Microsoft  MSHTML

RCE

CVE-2021-34527

Microsoft  Windows Print Spooler

RCE

CVE-2021-3156

Sudo

权限提升

CVE-2021-27852

Checkbox  Survey

远程任意代码执行

CVE-2021-22893

Pulse  Secure Pulse Connect Secure

远程任意代码执行

CVE-2021-20016

SonicWall  SSLVPN SMA100

SQL注入

CVE-2021-1675

Windows  Print Spooler

RCE

CVE-2020-2509

QNAP  QTS and QuTS hero

远程任意代码执行

CVE-2019-19781

Citrix  Application Delivery Controller (ADC) and Gateway

任意代码执行

CVE-2019-18935

Progress  Telerik UI for ASP.NET AJAX

代码执行

CVE-2018-0171

Cisco  IOS Software 和IOS XE Software

远程任意代码执行

CVE-2017-11882

Microsoft  Office

RCE

CVE-2017-0199

Microsoft  Office

RCE

数据来源:CISA

 

附件3-通用安全建议

A.漏洞和配置管理

1.   及时更新 IT 网络资产上的软件、操作系统、应用程序和固件,优先修复已知被利用或正在被利用的漏洞、以及影响较为严重的漏洞。若漏洞暂无可用补丁,请根据实际情况应用供应商提供的临时缓解措施或相关防护措施。

2.   建议使用集中的补丁管理系统。

3.   更换寿命终止的软件,即供应商不再提供支持的软件。

4.   无法对面向 Internet 的系统执行快速扫描和修补的组织应考虑将这些服务转移到成熟的、有信誉的云服务提供商 (CSP) 或其他托管服务提供商 (MSP)。但由于MSP和CSP扩大了客户组织的攻击面,并可能引入意料之外的风险,组织应积极主动地与MSP和CSP合作,共同降低这种风险。

 

B.身份和访问管理

1.    对所有用户强制执行多因素身份验证 (MFA),无一例外。

2.    在所有 VPN 连接上强制执行MFA。如果 MFA 不可用,则要求从事远程工作的员工使用强密码。

3.    定期审查、验证或删除特权帐户(至少每年一次)。

4.    在最小权限原则的概念下配置访问控制。

 

C.保护控制和架构

1.    正确配置和保护面向互联网的网络设备,禁用未使用或不必要的网络端口和协议,加密网络流量,并禁用未使用的网络服务和设备。

(1)  加强防护通常被利用的企业网络服务,包括链接本地多播名称解析(LLMN)协议、远程桌面协议(RDP)、通用互联网文件系统(CIFS)、Active Directory和OpenLDAP。
(2)  管理 Windows 密钥分发中心(KDC) 帐户(例如,KRBTGT)以最大限度地减少Golden Ticket attacks(黄金票据)和 Kerberoasting。
(3)  严格控制本地脚本应用程序的使用,例如命令行、PowerShell、WinRM、Windows Management Instrumentation(WMI) 和分布式组件对象模型 (DCOM)。

2.    通过控制对应用程序、设备和数据库的访问,对网络进行分段以限制或阻止横向移动。使用私有虚拟局域网。

3.    持续监控攻击面并调查可能表明攻击者或恶意软件横向移动的异常活动。

(1)  使用安全工具,如端点检测和响应(EDR)以及安全信息和事件管理(SIEM)工具。考虑使用信息技术资产管理(ITAM)解决方案,以确保EDR、SIEM、漏洞扫描器等报告相同数量的资产。
(2)  监视环境中是否存在可能不需要或有害的程序。

4.    减少第三方应用程序和独特的系统/应用程序的构建;只有在需要支持业务关键功能时才提供例外。

5.    实施应用程序许可名单。

 

附件4-相关链接

2021年上半年针对Linux的常用漏洞TOP15

2020-2021年 30个常被利用的漏洞

2016-2019 年最常被利用的10个漏洞

Apache Log4j 漏洞指南


原文始发于微信公众号(维他命安全):【风险通告】2022年4月重点关注的漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月29日18:58:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【风险通告】2022年4月重点关注的漏洞http://cn-sec.com/archives/962443.html

发表评论

匿名网友 填写信息